Perfctl-haittaohjelmasta tulee hiljainen uhka, joka saastuttaa tuhansia Linux-palvelimia
Aqua Securityn äskettäin tekemässä hälyttävässä löydössä salakavala haittaohjelma nimeltä Perfctl on kohdistanut aktiivisesti Linux-palvelimiin yli kolmen vuoden ajan, ja se on livahtanut palvelinvirheiden ja haavoittuvuuksien halkeamien läpi. Tämä hienostunut haittaohjelma on vaarantanut tuhansia järjestelmiä keskittyen kiertotaktiikoihin ja resurssien kaappaamiseen kryptovaluutan louhimiseksi. Tässä on mitä sinun tulee tietää tästä haittaohjelmaperheestä, joka lentelee tutkan alla.
Sisällysluettelo
Kuinka Perfctl toimii
Perfctl hyödyntää yli 20 000 tunnettua haavoittuvuutta ja virheellistä kokoonpanoa Linux-palvelimissa jatkuvan pääsyn luomiseksi. Sisään päästyään se ei herätä heti hälytyksiä. Sen sijaan se toimii hiljaa, piilottaa itsensä rootkitillä ja aktivoituu vain, kun palvelin on käyttämättömänä. Viestintä sen komento- ja ohjausinfrastruktuurin (C&C) kanssa hallitaan huolellisesti Unix-pistorasian ja Tor-verkon kautta, mikä varmistaa, että ulkoisia komentoja on vaikea jäljittää.
Kun haittaohjelma on järjestelmän sisällä, se luo takaoven, lisää oikeuksia ja antaa operaattoreille mahdollisuuden hallita tartunnan saaneita palvelinta etänä. Sieltä Perfctl ottaa käyttöön työkaluja tiedustelua varten, luopuu kryptovaluutan louhinnasta ja käyttää välityspalvelimen kaappausohjelmistoa resurssien varastamiseen vaarantuneista järjestelmistä. Sen operaattorit ottavat käyttöön myös muita haittaohjelmia, mikä tekee näistä tartunnan saaneista palvelimista kasvualustan ilkeämmille toimille.
Kierto ja sinnikkyys on avain Perfctlin varkaistumiseen
Perfctl on suunniteltu yhteen asiaan ennen kaikkea: piilossa pysymiseen. Se muokkaa järjestelmän komentosarjoja varmistaakseen, että se toimii ennen laillisia työkuormia ja säilyttää otteensa palvelimessa. Se kytkeytyy myös erilaisiin todennustoimintoihin, jolloin se voi ohittaa salasanan tarkistukset tai jopa kirjata tunnistetiedot, jolloin hyökkääjät pääsevät käsiksi arkaluontoisiin tietoihin. Haittaohjelma jopa keskeyttää toimintansa, jos se havaitsee käyttäjien toimintaa, mikä tekee siitä melkein näkymätön järjestelmänvalvojille.
Pakatut, riisutut ja salatut Perfctl:n binaarit on suunniteltu välttämään havaitseminen ja käänteinen suunnittelu. Sen luojat ovat tehneet paljon vaivaa varmistaakseen, että perinteiset puolustusmekanismit eivät toimi sitä vastaan. Asiaa pahentaa vielä se, että Perfctl ei tyydy vain järjestelmän vaarantamiseen – se etsii aktiivisesti muita haittaohjelmia palvelimelta ja yrittää lopettaa ne varmistaen, että se on ainoa järjestelmässä käynnissä oleva haittaohjelma.
Haavoittuvuus: CVE-2021-4043 käytetty hyväksi
Yksi Perfctl:n kriittisistä aloituskohdista on tunnetun haavoittuvuuden kautta: CVE-2021-4043. Tämä on keskivakava Noll-osoittimen viittausvirhe avoimen lähdekoodin Gpac-multimediakehyksessä. Perfctl käyttää tätä haavoittuvuutta laajentaakseen oikeuksiaan yrittäessään saada pääkäyttäjän oikeudet. Vaikka bugi lisättiin äskettäin CISA:n Known Exploited Vulnerabilities -luetteloon, se on edelleen tämän haittaohjelman kohteena, koska sitä käytetään jatkuvasti luonnossa.
Kun Perfctl pääsee käsiksi, se leviää tartunnan saaneeseen järjestelmään, kopioi itsensä useisiin paikkoihin ja jopa pudottaa pois muokatut Linux-apuohjelmat, jotka toimivat userland rootkit -paketteina. Nämä apuohjelmat peittävät sen toimintaa entisestään ja antavat kryptominerin toimia taustalla huomaamatta.
Hyökkäyksen laajuus
Perfctl:n kattavuus on laaja, ja Aqua Security tunnistaa kolme hyökkäyksissä käytettyä latauspalvelinta ja joukon vaarantuneita verkkosivustoja. Perfctl:n takana olevat uhkatoimijat käyttävät lähes 20 000 merkintää sisältävien hakemistojen läpikäyntien fuzzing-luetteloita paljastuneiden määritystiedostojen ja salaisuuksien etsimiseen. Tämä tekee selväksi, että hyökkääjät eivät luota vain satunnaisiin haavoittuvuuksiin, vaan etsivät järjestelmällisesti väärinkäyttöä.
Mitä voidaan tehdä?
Perfctl:n löytäminen korostaa, kuinka tärkeää on ylläpitää suojattuja kokoonpanoja Linux-palvelimilla ja korjata tunnetut haavoittuvuudet mahdollisimman pian. Järjestelmänvalvojien tulee säännöllisesti tarkastaa järjestelmänsä epätavallisen toiminnan varalta, varsinkin joutojaksojen aikana, ja tarkkailla epäilyttävää verkkoliikennettä, joka voisi viitata rootkit- tai kryptovaluutan louhintaan.
Perfctl:n hienostuneen luonteen vuoksi perinteiset tunnistusmekanismit eivät välttämättä riitä. Organisaatioiden tulisi harkita kehittyneiden uhkien havaitsemistyökalujen ja valvontaratkaisujen käyttöönottoa, jotka voivat tunnistaa epätavallisia malleja palvelimen toiminnassa, vaikka haittaohjelma yrittäisikin aktiivisesti piiloutua.